Microsoft Sentinel资产实体架构旨在将各种产品中的资产规范化为Microsoft高级安全信息模型(ASIM)中的标准化格式。 此架构专门关注非Microsoft数据源中的资产,确保一致且高效的分析。
资产是组织存储、处理或管理的任何数据资源,例如文件或站点。 每个资产都具有与安全相关的元数据,包括所有权、权限、敏感度分类和风险指示器。 资产可以源自各种平台、数据库、云存储服务、SaaS 应用程序和本地系统,并作为完整清单快照或增量更改源收集。
通过将资产数据规范化为通用架构,Microsoft Sentinel使安全团队能够以一致的方式分析和关联各种数据源中的资产信息。 架构中的键字段包括 EntityId 和 EntityName 唯一标识资产、 AssetType 区分资产类型(如文件或站点、 AssetOwnerId 跟踪所有权以及 AssetSensitivityLabelAssetOriginalDataClassificationType 数据分类上下文),以及 EntityFeedType 指示记录是完整清单快照还是增量更改。 这种统一表示形式为下游方案提供支持,例如识别过度共享的敏感文件、跟踪权限更改、检测未受保护的资产,以及通过集成(Microsoft Purview数据安全状况管理(DSPM)在整个数据资产中呈现风险。
使用架构可以Microsoft Purview DSPM 跨Microsoft和合作伙伴平台管理数据安全状况。 有关详细信息,请参阅 Ignite 2025 公告 ,介绍 DSPM 合作伙伴生态系统。
有关Microsoft Sentinel规范化的详细信息,请参阅 Normalization 和 Advanced Security Information Model (ASIM)。
分析器
有关 ASIM 分析程序的详细信息,请参阅 ASIM 分析程序概述。
统一分析程序
若要使用统一所有 ASIM 现用分析器的分析程序,并确保分析在所有配置的源上运行,请使用 _Im_AssetEntity 分析器。
添加自己的规范化分析器
为资产实体架构 开发自定义分析器 时,使用以下语法命名 KQL 函数:
-
vimAssetEntity<vendor><Product>(对于参数化分析程序) -
ASimAssetEntity<vendor><Product>(对于常规分析程序)
请参阅 管理 ASIM 分析程序 一文,了解如何将自定义分析器添加到统一分析器。
筛选分析程序参数
资产实体分析程序支持各种 筛选参数 ,以提高查询性能。 尽管这些参数是可选的,但它们可以增强查询性能。 可使用以下筛选参数:
| 名称 | 类型 | 说明 |
|---|---|---|
| starttime | 日期/时间 | 仅筛选在此时间或之后引入的资产。 此参数在字段上 EntityIngestionTime 筛选,该字段是资产时间的标准设计器。 |
| endtime | 日期/时间 | 仅筛选在此时间或之前引入的资产。 此参数在字段上 EntityIngestionTime 筛选,该字段是资产时间的标准设计器。 |
| entityid_has_any | dynamic | 仅筛选 “EntityId” 字段位于其中一个列出的值中的资产。 |
| entityname_has_any | dynamic | 仅筛选 “EntityName” 字段位于其中一个列出的值中的资产。 |
| assettype_in | 字符串 | 仅筛选 “AssetType” 字段等于参数值的资产。 |
| path_has_any | dynamic | 仅筛选 “FilePath” 或 “SitePath” 字段位于其中一个列出的值中的资产。 |
| assetowner_has_any | dynamic | 仅筛选 “AssetOwner” 或 “AdditionalAssetOwners” 字段位于其中一个列出的值中的资产。 |
| entitysource_has_any | dynamic | 仅筛选 “EntitySource” 字段位于其中一个列出的值中的资产。 |
架构详细信息
通用 ASIM 实体字段
以下列表将提及实体架构的字段及其资产实体的特定准则:
| 领域 | Class | 类型 | 说明 |
|---|---|---|---|
| EntityUpdatedTime | 强制的 | 日期/时间 | 在源处更新或收集实体时的时间戳(UTC)。 |
| EntityIngestionTime | 可选 | 日期/时间 | 引入管道接收资产日志时的时间戳(UTC)。 |
| 实体 ID | 强制的 | 字符串 | 资产的唯一标识符。 |
| EntityOriginalId | 可选 | 字符串 | 如果资产与 “EntityId”不同,则源中资产的唯一标识符。 |
| EntityName | 强制的 | 字符串 | 实体的名称。 |
| EntityNameType | 推荐 | 字符串 | 实体名称的类型。 |
| EntityVendor | 强制的 | 字符串 | 报告实体的供应商或提供程序。 |
| EntitySource | 强制的 | 字符串 | 提供实体记录的数据源或连接器。 |
| EntityProduct | 强制的 | 字符串 | 与报告实体的源关联的产品名称。 |
| EntitySubProduct | 强制的 | 字符串 | 与报告实体的源关联的子产品或组件名称。 |
| EntityCreatedTime | 强制的 | 日期/时间 | 最初在源系统中创建实体时的时间戳(UTC)。 |
| EntityLastAccessedTime | 可选 | 日期/时间 | 上次访问实体时的时间戳(UTC)。 |
| EntityLastModifiedTime | 强制的 | 日期/时间 | 在源系统中上次修改实体时的时间戳(UTC)。 |
| EntityIsDeleted | 可选 | 布尔 | 指示是否已在源系统中删除实体。 |
| EntityFeedType | 强制的 | 枚举 | 提供实体记录的数据馈送的类型或类别。 允许的值为: Snapshot 或 Changefeed。 |
| EntitySchema | 强制的 | 枚举 | 用于实体的架构。 此处所述的架构为 Asset。 |
| EntitySchemaVersion | 强制的 | SchemaVersion(字符串) | 架构的版本。 此处所述的架构版本为 0.1.0。 |
资产所有者字段
本部分定义有关资产所有者的信息。 如果资产具有多个所有者,请填充字段 AssetOwnerId 和 AdditionalAssetOwners。
AdditionalAssetOwners 应为字符串数组,字符串的格式必须与 AssetOwnerId.
| 领域 | Class | 类型 | 说明 |
|---|---|---|---|
| AssetOwnerId | 强制的 | 字符串 | 参与者的计算机可读的唯一字母数字表示形式。 有关详细信息,以及其他 ID 的替代字段,请参阅 User 实体。 |
| AssetOwnerIdType | 推荐 | 字符串 | 资产所有者标识符的类型或格式。 这类似于 UserIdType 事件架构。 有关详细信息和允许值的列表,请参阅架构概述文章中的 UserIdType。 |
| AssetOwnerType | 可选 | 字符串 | 资产所有者的类型。 有关详细信息和允许值的列表,请参阅架构概述文章中的 UserType。 |
| AssetOwnerScope | 可选 | 字符串 | 资产所有者所属的组织或管理范围。 |
| AssetOwnerScopeId | 可选 | 字符串 | 资产所有者所属范围的标识符。 |
| AdditionalAssetOwners | 可选 | dynamic | 与资产关联的其他所有者或共同所有者的动态集合。 这必须是 字符串数组。 |
资产元数据字段
| 领域 | Class | 类型 | 说明 |
|---|---|---|---|
| AADTenantId | 强制的 | 字符串 | 与资产或实体关联的Azure Active Directory租户标识符。 |
| IdentityDirectoryName | 可选 | 字符串 | 与实体关联的标识目录的名称,例如Azure AD、GCP、AWS。 |
| IdentityDirectoryId | 强制的 | 字符串 | 与实体关联的标识目录的标识符。 |
| AdditionalFields | 可选 | dynamic | 有关架构中其他字段未捕获的实体的其他信息。 |
资产类型字段
本部分定义有关资产类型的信息。 支持的当前类型为 File 和 Site。 应填充资产类型的其他属性。
| 领域 | Class | 类型 | 说明 |
|---|---|---|---|
| AssetType | 强制的 | 字符串 | 资产的高级类型。 允许和支持的值为: File, Site。 |
| AssetOriginalType | 推荐 | 字符串 | 源中资产的高级类型的原始名称。 |
资产安全字段
本部分捕获资产的安全状况和暴露上下文,包括源权限、敏感度和数据分类详细信息、DLP 保护状态、相关威胁指标以及上次分类扫描时间。 它还包括内部和外部用户访问计数,以帮助评估潜在风险。
| 领域 | Class | 类型 | 说明 |
|---|---|---|---|
| AssetOriginalPermissions | 可选 | dynamic | 分配给源系统报告的资产的原始权限集。 |
| AssetSensitivityLabel | 强制的 | 字符串 | 应用于资产的敏感度标签。 允许的值为:Personal、、Public、GeneralConfidential。 Highly Confidential |
| AssetOriginalSensitivityLevel | 可选 | 字符串 | 在规范化之前,源系统报告的敏感度级别。 |
| AssetIsProtectedByDlp | 可选 | 布尔 | 指示资产是否受数据丢失防护 (DLP) 策略的保护。 |
| AssetRelatedIndicators | 可选 | dynamic | 与资产相关的威胁指示器或信号的动态集合。 |
| AssetOriginalDataClassificationType | 强制的 | dynamic | 分配给源系统报告的资产的原始数据分类类型。 这必须是 字符串数组*。 |
| AssetClassificationLastScanDateTime | 强制的 | 日期/时间 | 上次扫描资产进行数据分类时的时间戳(UTC)。 |
| InternalUsersCount | 可选 | int | 与资产关联的内部用户数或有权访问资产。 |
| ExternalUsersCount | 可选 | int | 与资产关联的或有权访问资产的外部用户数。 |
资产风险字段
本部分捕获资产的风险上下文,包括规范化和源报告的风险名称和级别、第一个和最后一个报告时间戳以及特定于提供程序的风险详细信息。
| 领域 | Class | 类型 | 说明 |
|---|---|---|---|
| AssetRiskName | 可选 | 字符串 | 与资产关联的风险或威胁的规范化名称。 |
| AssetRiskLevel | 可选 | 枚举 | 分配给资产的规范化风险级别。 允许的值为:Info、、Low、MediumHigh、。 CriticalOther |
| AssetOriginalRiskLevel | 可选 | 字符串 | 在规范化之前,分配给源系统报告的资产的风险级别。 |
| AssetRiskFirstReportedTime | 可选 | 日期/时间 | 首次报告与资产关联的风险的时间戳(UTC)。 |
| AssetRiskLastReportedTime | 可选 | 日期/时间 | 最近报告与资产相关的风险的时间戳(UTC)。 |
| AssetOriginalRiskDetails | 可选 | dynamic | 源系统提供的资产的完整风险详细信息。 |
文件(资产类型)字段
本部分捕获特定于文件的资产属性。 如果为 AssetType,则应填充属性。
| 领域 | Class | 类型 | 说明 |
|---|---|---|---|
| FilePath | 可选 | 字符串 | 与资产关联的文件的完整路径。 |
| FileSize | 可选 | long | 以字节为单位的文件的大小。 |
| FileMD5 | 可选 | 字符串 | 与资产关联的文件的 MD5 哈希。 |
| FileSHA1 | 可选 | 字符串 | 与资产关联的文件的 SHA-1 哈希。 |
| FileSHA256 | 可选 | 字符串 | 与资产关联的文件的 SHA-256 哈希。 |
| FileSHA512 | 可选 | 字符串 | 与资产关联的文件的 SHA-512 哈希。 |
| FileExtension | 可选 | 字符串 | 与资产关联的文件的文件扩展名,例如 .exe 或 .pdf。 |
| FileIsSignatureValid | 可选 | 布尔 | 指示文件的数字签名是否有效。 |
| FileSignatureDetails | 可选 | 字符串 | 有关文件的数字签名的详细信息,例如签名者或证书信息。 |
站点(资产类型)字段
本部分捕获 Sharepoint 网站资产的特定于网站的位置属性。 如果为 AssetType,则应填充属性。
| 领域 | Class | 类型 | 说明 |
|---|---|---|---|
| SitePath | 可选 | 字符串 | 与资产关联的站点或存储位置的路径。 |
| SitePrimaryUri | 可选 | 字符串 | 与资产关联的站点或存储位置的主 URI。 |
Aliases
| 领域 | Class | 类型 | 说明 |
|---|---|---|---|
| AssetPath | 别名 | 字符串 | 任一或两者 FilePath 别名 SitePath |
| 用户 | 别名 | 字符串 | 的 AssetOwnerId别名。 |
架构更新
下面是各个不同架构中的更改:
- 版本 0.1.0:初始版本。
后续步骤
有关详细信息,请参见: